Digital-Perso und Führerschein
Digital-Perso und Führerschein: Identitäts- und Datendiebstahl bei „ID Wallet“ möglich
Schon unser erster Kontakt mit den Anbietern der ID Wallet-App im Mai dieses Jahres fiel merkwürdig aus. Damals warteten wir noch auf die von der Bundesregierung versprochene Einführung des digitalen Personalausweises und stolperten eher zufällig über den App Store-Download, der in seiner frühen Phase ausschließlich von einer Gruppe ausgewählter Tester genutzt werden konnte.
Nachdem wir die App der in Arnstorf ansässigen Digital Enabling GmbH dann gesichtet hatten, vermuteten wir die erste grobe Umsetzung des von langer Hand versprochenen „Ökosystems digitale Identität“ der Bundesregierung in den Händen zu halten. Auf Nachfrage wollte das Unternehmen die Zusammenarbeit mit dem Bund jedoch weder bestätigen, noch dementieren oder anderweitig kommentieren. Zumindest nicht telefonisch. Die Bestätigung traf dann schriftlich mit ordentlicher Verzögerung ein: Ja, hieß es in der knappen E-Mail, man sei in Abstimmung mit dem Bund der Herausgeber der App, in der zukünftig die digitalen Personaldokumente landen sollten.
Blamabler App-Store-Auftakt
Offiziell startete die ID Wallet-App dann am 23. September mit einer Pressemitteilung des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI). Anwender die über einen Perso mit Online-Funktion verfügen würden, könnten diesen und ihren Führerschein ab sofort digitalisieren. Was dann folgte ist bekannt:
- Führerschein auf iPhone speichern:„Digitale Pappe“ ab sofort verfügbar
- Digitaler Führerschein: Große Nachfrage, massive Startschwierigkeiten
- Angreifbar: ID Wallet-App verschwindet aus dem App Store
Die ID Wallet-App wurde erst überrannt, funktionierte dann eine Weile lang nicht und verabschiedete sich schließlich am gestrigen Mittwoch wieder aus dem App Store – in Hackerkreisen wurde da schon gemunkelt, dass die Anwendung angreifbar sei.
Identitäts- und Datendiebstahl möglich
Jene Vermutungen, vorgetragen von der für ihre Untersuchungen der CDU-Apps bekannten Netz-Aktivistin Lilith Wittmann, wurden jetzt konkretisiert. Die ID Wallet-App prüft nicht, wer als Empfänger der in ihr gesicherten Daten auftritt, und verschickt diese grundsätzlich an jeden nachfragenden Server. Eine konzeptuelle Schwachstelle, die sich über modifizierte QR-Codes für Identitäts- und Datendiebstahl nutzen lässt. Einen Machbarkeitsbeweis, ein sogenanntes Proof of Concept, demonstriert Fabian Lüpke im Video:
Hier der PoC in nem Video demonstriert: pic.twitter.com/gG7WCTOQxs
— Flüpke (@fluepke) September 30, 2021
Laut Wittmann habe die Digital Enabling GmbH auf diese Erkenntnis allerdings lediglich mit diversen Einschüchterungsversuchen reagiert.
Die ID Wallet-App ist vorerst nicht mehr im App Store verfügbar.
Super!!! *facepalm*
ok, rezept als app, personalausweis in digital, kontaktverfolgung wegen corona und meine gesamte schriftliche kommunikation – alles auf dem selben gerät. leute!
ach ja – habe die zahlungsdaten, surfgewohnheiten, gesundheitsdaten und bewegungsprofile vergessen.
Und zu Hause hast du alles zusammen mit TAN Liste in einem Aktenordner abgelegt. ;-)
Andi Scheuer Proofed!!!
Wow… scary!
Wie sicher ist dann die eingepflegte Kreditkarte für ApplePay?
Du vergleichst gerade Äpfel mit Birnen… das gesamte Grundprinzip ist hier anders konzipiert.
Warum sollte man bitte Äpfel und Birnen nicht vergleichen können?
Na dann überlege mal
Hier geht’s um Apple, nicht um Birnen …
Wenn Du es jetzt schaffst, den Zusammenhang zu erklären, den Du da siehst… das wird spannend!
Beides im Wallet zum Beispiel?
@cashondelivery
Es ist eben nicht beides im Apple Wallet. Infromiere dich doch einfach mal.
Aber wenn das Äpfel und Birnen sind, umso besser…
Fängt schon damit an, das deine Kreditkarte im Apple eigenen, verschlüsseltem Chip gespeichert werden, was beim Perso nicht der Fall ist. Genauso ist der Perso nicht in der Wallet App sondern in der eigenen ID Wallet App.
Das war die unkomplizierte ausführung.
Übrigends ist die Kreditkarte im iPhone sicherer, als wenn du sie als Karte in deinem Geldbeutel rum trägst.
@VeNoM: danke für die Erleuchtung!
:-))
@neonmag: liest du eigentlich auch Kommentare, oder haust du einfach nur deine vermeintlichen Weisheiten raus?!?
Ich habe mich bereits für Erklärung und Erleuchtung bedankt. Also behalte deine Überheblichkeit für dich…
Meine Güte…
Das eine ist die wallet von iOS.
Das andere ist die ID walletApp des genannten Unternehmens – hat nix miteinander zu tun.
Danke für die Erläuterungen!
:-))
Ist halt Neuland….
Lilith Wittmann ist soviel größeres Kaliber als Dorothee Bär. Weiter so Lilith.
Deswegen ist die eine auch eine IT-Sicherheitsexpertin
und die andere ein Problembär.
Ein kleineres Kaliber als Dorothea Bär gibt es ja auch nicht. Ein Parteibuch reicht vielleicht für einen Posten sagt aber nichts über Qualifikation. Die Dame ist maximal ungeeignet für ihren Job.
Dorothee
Warum prüft man so etwas nicht vor der Veröffentlichung? Weil das BSI das nicht kann oder will, oder weil Andy CCC nicht als Prüfer haben will. Ach ja da gäbe ja noch den TÜV, aber der prüft höchstens auf Schreibfehler im Namen der APP.
Bund und Ländersache… Da muss man unterscheiden. Die BSI prüft doch bei manchen Sachen garnicht erst, weil es keine Zuständigkeit hat.
Sollte die ID Wallet App Ländersache sein, prüft die BSI nicht, weil es eine Bundesbehörde ist.
War bei der Luca App ja auch so.
Innenministerium blockiert Sicherheitsprüfung der Luca-App https://www.iphone-ticker.de/innenministerium-blockiert-sicherheitspruefung-der-luca-app-178492/
Melderecht ist Bundesrecht.
Und wie kommst du auf Melderecht?
Was hat das Melden meines Wohnsitzes mit der Verwaltung von Ausweisen und Führerscheinen in einer Digitalen App zu tun…
Genau…man muss unterscheiden: mal ist das Land inkompetent und schiebt dem Bund die Schuld zu und mal ist der Bund inkompetent und schiebt die Schuld auf die Länder. Und wenn gar nichts mehr hilft sind die Kommunen schuld. Oder die EU. Oder der Bürger. Zum Schluss ist es dannimmer der Datenschutz, der alles verhindert. Am Ende sind wir dann digital auf dem Niveau von Mauretanien 1952 und niemand ist Schuld. Aber man muss ja unterscheiden. *kopf-auf-tischplatte*
Ja man muss unterscheiden, sagt das BSI selbst.
Es wird nicht geprüft, wenn das BSI sich nicht dafür verantwortlich fühlt.
Das ist ja das schlimme.
Aber das ist doch durch sieben Blockchains gesichert, hieß es!
Dann ist doch UNDENKBAR, dass das unsichere Stümpersoftware ist!!1!1
;-P
Über 7 Blockchains musst du gehen …
Super! +1
wenn man mal bei „digital enabling GmbH“ guckt, stellt man doch ganz schnell (mindestens) 2 Dinge fest:
Z.B. dass diese saubere Qualitätssoftwareschmiede ganz zufällig dieses Jahr im Wahlkreis vom 1000% unkorrupten Scheuer-Andi gegründet wurde.
Die Welt ist klein.
Ich glaube diese Info ist nicht richtig. Auch wenn sein Wahlkreis recht nahe liegt.
Hast recht, ist der Nachbarwahlkreis.
Die Nähe stinkt dennoch, finde ich.
Spendengelder enabled
Müsste man jetzt nur noch mal schauen ob es diesbezüglich …
ah mist. Nur 9999€ gespendet, somit nicht meldepflichtig.
Aber dafür vielleicht gleich 99 mal ?
Da bin ich ja mal wieder froh, dass ich den Ausweis damals gar nicht digital aktiviert habe. Was genau kann man bis jetzt nochmal damit machen? Ach genau, gar nichts…
Ich mache damit immer meine PostIdents und auch die Einkommensteuer.
KFZ ummelden hat erstklassig damit geklappt. Besser geht es wirklich nicht.
Für den der das selber macht sicherlich super, ich geb mein altes Auto ab und bekomme ein neues. Um alles andere kümmert sich die Niederlassung.
Ich nachher auch Postident und das ist super geil und so sollte es sein!
Aber bei meiner Gewerbeabmeldung im NRW Portal wo ich mich mit Personalausweis „ausgewiesen“ habe, musste ich eine Kopie des Personalausweises hochladen!? Gehts noch?
Und warum gibt es ein NRW Portal und dann noch viele weitere?
Man fragt sich ob es Leute gibt, die sich schlechtes Projektmanagement einfallen lassen
Hat jemand etwas anderes erwartet? Ich würde eher Lösungen von Huawei vertrauen, als diesem deutschen Behördenmist. Die haben doch schon mit De-Mail ihr Können bewiesen. Amateure.
Ich hatte es damals ja schon geschrieben, und wurde abgebügelt: solche Identitäten an irgendwelche unbekannten GmbHs geben geht gar nicht. Leute, lasst doch bitte nicht jeden Blödsinn mit euch machen, den Politik und Behörden in Deutschland verzapfen. Der Bund braucht im AppStore eine geprüfte Identität, worüber solche essentiellen Apps in einem überwachten Prozess veröffentlicht werden. Damit ist zwar immer noch nicht die Qualität sichergestellt, logisch – aber das ist das Mindeste.
Problem ist das der Bund solche Fachkenntnisse nie haben wird. Daher muss er auch immer wieder externe Firmen nehmen.
Glaub mir, aus eigenen Erfahrungen, du willst nichts nutzen was der Bund entwickelt.
Da gebe ich lieber Facebook meine Daten, da sind die sicherer
Man muss sich mal die Arbeitsplätze/ Stellenbeschreibungen von Behörden ansehen.
Da werden sonstwas für Anforderungen gestellt. Also gehe ich davon aus, dass da Profis arbeiten.
Irgendwie vermittelt mir der öffentl. Dienst genau das Gegenteil.
Ist es nicht nahezu fahrlässig, personenbezogene Daten in einer Blockchain zu speichern, wo sie nie wieder gelöscht werden können? Das wäre ha geradezu kriminell von dieser Klitsche, falls die so etwas programmiert haben.
Anders als bei physischen Karten gibt der Nutzer die Zügel aus der Hand:
Obwohl die genutzte Technologie der selbstverwaltete Identitäten (SSI) es gerade ermöglichen würde, eine unwiderrufliche Identitätsinformationen (irrevocable identity) an den Nutzer auszustellen, wird es in der Praxis so implementiert, dass die Basis-ID von der Bundesdruckerei nachträglich widerrufen werden kann.
Anders als beim analogen Ausweis ist der digitale Ausweis somit nicht unter der eigenen Kontrolle und kann ohne physischen Zugriff auf das Smartphone vom Staat gesperrt werden.
Siehe hierzu z.B. auf https://digital-enabling.eu/ unter dem Punkt „Wie kann ich meine Basis-ID löschen bzw. sperren?“: „Auch bei einer Neu-Ausstellung der Basis-ID werden zuvor ausgestellte Versionen der Basis-ID automatisch gesperrt.“, mit anderen Worten ohne physischen Zugriff.
Wünschenswert wäre es stattdessen, dass allein der Nutzer die Löschung vornehmen kann und diese Löschung nachweisen muss, bevor eine Neu-Ausstellung erfolgen kann, so wie auch beim analogen Ausweis der alte aktiv abgegeben werden muss, bevor ein neuer erhalten werden kann.
Somit leider mal wieder: mehr Kontrolle, weniger Selbstbestimmung.
Wer gibt den seinen alten Ausweis ab? Ja der wird beim Amt gelocht, aber das war’s. Den Finger richtig gehalten und du kannst den Ausweis weiterhin nutzen. So kann ihn zumindest auch das Amt ungültig erklären direkt digital.
Genau, der Staat hat die technische Möglichkeit, den digitalen Ausweis nachträglich für ungültig zu erklären, ohne aktives Zutun des Bürgers, das ist genau der Kritikpunkt.
Es wäre mit der SSI-Technologie aber gerade möglich gewesen, den digitalen Ausweis so zu implementieren, dass der Staat diese technische Möglichkeit nicht hat, sondern dass ein einmal ausgestellter digitaler Ausweis nur noch in den Händen des Bürgers liegt, so wie es beim analogen Ausweis auch der Fall ist.
Der Bürger hätte dann nämlich eine technisch unwiderrufliche Identität auf seinem Endgerät, für die alleine er selbst verantwortlich wäre und auf die er sich insoweit hundertprozentig verlassen könnte. Der digitale Ausweis würde nämlich nur mit dem Ablauf des Datums ungültig werden oder wenn der Staat im Rahmen eines Gerichtsprozesses physischen Zugriff erzwingt, genau wie beim analogen Ausweis eben auch.
Nun aber trägt der Bürger stets die Risiken, dass bspw. ein technischer Fehler auftritt, oder, dass der Ausweis aus rechtswidrigen Gründen widerrufen wird und er dann seinerseits dagegen vorgehen muss. In der Zwischenzeit steht er dann aber ohne gültige Identität da.
@Emanuel
Vielen Dank für diese Aufklärung!
Ich bin leider völliger Laie auf diesem Gebiet und habe keinen Plan, wie man an solche Infos kommt.
Hättest Du da Vorschläge / Links für mich?
@John.W
Inzwischen muss man seinen alten Personalausweis abgeben.
Der Chip müsste gelocht werden, dieser befindet sich aber nicht immer zu 100% an gleicher Stelle. Daher muss man diesen inzwischen abgeben, ungültig mitnehmen ist nicht mehr.
Diese App ist unbrauchbar. Mehrere Versuche ein Dokument abzulegen scheitern.
Ab in die Tonne…. gelöscht
Man regt sich immer auf, dass D so konservativ ist. Aber es ist schon „gesünder“ für die eigene Datensicherheit, nicht jede neue Umsetzung – erst recht nicht, wenn sie vom Bund kommt – einer an sich guten Idee mit den persönlichen Daten zu füttern. Zumindest begegne ich diesen vom Bund protegierten Apps sehr skeptisch und bin Leuten wie Wittmann sehr dankbar gür ihr Engagement. Die Realität zeigt ja, wie undanbar das sein kann.
für nicht gür
undankbar
Ich bitte, die Schreibfehler zu entschuldigen.
Super Sache.
Wieder wahrscheinlich 100 mio € Steuergelder rein gebuttert und ein nixiges etwas App kommt dabei raus…
Aber die 100€ Millionen sind doch gut angelegt. Die Firmen müssen doch gesichert werden vom Staat :D
Wo Scheuer drauf steht ist auch Andy drin. Was für ein Idiot!
Redest Du von Andy B. Scheuert?
Late to the party, ich weiß, aber: wie groß ist jetzt noch die Überraschung, dass der Sitz von Digital Enabling 50km von Passau (=Wahlkreis Andi Scheuer) entfernt liegt?
Vor allem Einschüchterungsversuche.
Danke, dass sie den Mist aufgedeckt haben.
„Laut Wittmann habe die Digital Enabling GmbH auf diese Erkenntnis allerdings lediglich mit diversen Einschüchterungsversuchen reagiert.“ Zeigt deutlich was von dieser Firma zu halten ist oder? Also da bleibe ich lieber Analog als diesen Verein oder deren App meine Daten zugeben.
Lasst einfach eure persönlichen Daten nicht ins Internet! Für jeden halbwegs versierten Hacker ist diese blödsinnige Entwicklung doch ein feuchter Traum!
Wie soll das gehen? Dann müsste man das Internet vollständig meiden.
Blödsinn – aber ein bisschen nachdenken, was man wo veröffentlicht, hinterlegt oder mitteilet würde schon helfen!
Kreditkarte auf’s Handy, Führerschein auf’s Handy, Türschlüssel auf’s Handy, Autoschlüssel auf’s Handy, Personalausweis auf’s Handy und immer wieder von 90% der Leser hier Hurra geschrien – da muss man doch irgendwann mal den Kopp einschalten!